Anzeige

Anzeige

VERANSTALTUNGEN

Das Internet der Dinge (IoT)
19.03.19 - 19.03.19
In Stuttgart, Fraunhofer-Institutszentrum IAT-Gebäude

ELO Solution Day Dortmund
20.03.19 - 20.03.19
In Signal Iduna Park, Dortmund

ELO Solution Day Leipzig
21.03.19 - 21.03.19
In Kongresshalle Leipzig

CloudFest 2019
23.03.19 - 29.03.19
In Europa-Park, Rust

Blockchain Summit
26.03.19 - 26.03.19
In Frankfurt, Kap Europa

Anzeige

Anzeige

Datenverlertzung Schloss 765628591 700

Systeme, Technologien und Bedrohungen verändern sich. Und genau das sollte Ihr Reaktionsplan auch tun. Wir haben drei wesentliche Schritte zusammengestellt, wie Sie nach einer Datenschutzverletzung praktisch am besten vorgehen. 

Unternehmen befassen sich oftmals so intensiv mit Maßnahmen zur Verhinderung eines Sicherheitsvorfalls dass sie dabei einen der wichtigsten Schritte gerne aus den Augen verlieren. Nämlich den, zu verstehen, was genau passiert ist, wenn es zu einer Datenschutz-verletzung gekommen ist. Prävention ist nur die eine Seite der Gleichung. Unternehmen beginnen die Vorteile darin zu erkennen, eine Datenschutzverletzung exakt zu analysieren. Dazu gehören beispielsweise zukünftige Kosteneinsparungen bei der forensischen Analyse, etwa durch ein effizienteres Störfallmanagement. Aber wie bei den meisten IT-Sicherheitsmaßnahmen gibt es noch ausreichend Luft nach oben.

Hier sind drei wichtige Schritte wie man das Assessment nach einer Datenschutzverletzung mithilfe von Best-Practices umsetzt und sich damit vor zukünftigen Angriffen besser schützt.

Potenzielle Datenquellen identifizieren

Nach einem Datenschutzvorfall ist die einfache Frage „Wer hat was wann getan?“ eine der wichtigsten und zugleich eine der am schwersten zu beantwortenden. Wenn es zu einem Vorfall gekommen ist, wollen die betroffenen Unternehmen so schnell wie möglich die Ursache klären. Dies dient vornehmlich dazu beurteilen zu können, ob weitere Daten gefährdet sind und eine Ausweitung des Vorfalls zu verhindern.

Typische Datenquellen zur Untersuchung eines Vorfalls sind Sicherheits- und Betriebsprotokolle sowie Protokolle von Remote-Zugriffen. Protokolle, die auf Servern, Clients, Betriebssystemen, Datenbanken, Netzwerken und Sicherheitsgeräten anfallen. Die Untersuchung unterstützt die Ursachenforschung und lässt Zusammenhänge zwischen einer Reihe von Ereignissen erkennen, die nicht unmittelbar ersichtlich sind. Die Auswertung der Log-Daten hat jedoch ihre Grenzen.

Ein Beispiel: verlässt sich ein Unternehmen alleine auf die Analyse dieser Daten, riskiert es komplexe Attacken zu übersehen, die auf Aktivitäten eines privilegierten Nutzers zurückgehen. Darüber hinaus sind erfahrene Angreifer genauso wie ein böswillig agierender Systemadministrator problemlos in der Lage, relevante Protokolldaten zu löschen oder so zu verändern, dass alle Spuren verwischt sind. Der Verlust solcher Informationen kann zu Fehlern bei der Analyse führen und zugleich die Kosten in die Höhe treiben. Ganz abgesehen davon, dass das betroffene Unternehmen nur verspätet auf einen Vorfall reagieren kann oder die Datenschutzverletzung sogar gänzlich unentdeckt bleibt. Der schlimmste Albtraum eines jeden Unternehmens.

Als Gegenmaßnahme sollte sich ein IT-Sicherheitsteam auf zusätzliche Ressourcen stützen können wie etwa Session Audits (detaillierte Aufzeichnungen von Benutzersitzungen) und Verhaltensanalysen (erkennen anomaler Aktivitäten, die von einer zuvor definierten Norm abweichen). Dadurch wird der komplette Kontext einer verdächtigen Benutzeraktivität sichtbar und im Verdachtsfall können Alarme generiert werden.

Biometrische Merkmale und Sitzungsdaten – dazu gehören charakteristische Mausbewegungen, die Art des Tastenanschlags Logindaten, eingegebene Befehle und während einer Session geöffnete Fenster werden in manipulationssichere Audit Trails gespeichert. Mit ihnen lassen sich die Aktivitäten eines Benutzers exakt nachvollziehen. Kombiniert mit den Protokolldaten erlaubt diese Art des Monitorings einen zeitlichen Verlauf von Aktivitäten zu erstellen – und dieser ist unerlässlich sowohl für die Analyse in Echtzeit als auch für sämtliche Untersuchungen in der Folge eines Datenschutzvorfalls. 

Die Daten. Erfassen, verifizieren und extrahieren Sie die betroffenen Daten

Wenn potenzielle Datenquellen identifiziert sind, müssen relevante Daten erfasst und – als wichtiger Schritt – ihre Integrität festgestellt werden, bevor mit der Untersuchung fortgefahren werden kann.
Logmanagement-Tools helfen dabei, Protokolldaten von einer Vielzahl unterschiedlicher Quellen zentral zu sammeln, zu filtern, zu normalisieren und zu speichern. Sollte es sich um ein Szenario handeln bei dem privilegierte Benutzerkonten missbraucht wurden, sind die aufgezeichneten Audit Trails ebenfalls in den Plan zur Datenerfassung mit aufzunehmen.

Hat man die Daten erfasst, ist es entscheidend zu überprüfen, dass diese nicht manipuliert sind. Das ist insbesondere im Fall eines juristischen Nachweises von erheblicher Bedeutung.

Moderne forensische Tools schützen vor Datenmanipulation indem sie Daten verschlüsseln, mit Zeitstempel versehen und sie digital signieren. Zudem sichern sie vertrauliche Informationen zusätzlich über granulare Zugriffsrichtlinien ab. Nachdem alle Daten erhoben und verifiziert worden sind, geht es daran die relevanten Informationsbausteine zu bewerten und zu extrahieren. Auch hier helfen forensische Tools, zügig den Zeitpunkt zu lokalisieren an dem das verdächtige Ereignis aufgetreten ist. Die Protokolldaten mit den Metadaten der aufgezeichneten Sessions zu kombinieren beschleunigt die Untersuchung von Vorfällen in Zusammenhang mit privilegierten Konten. 

Führen Sie eine vollständige Analyse durch

Auf die Datenextraktion folgt die Analyse.  Dabei sind hinsichtlich des Datenschutzvorfalls Fragen nach dem wer, was, wo, wann, warum und wie zu beantworten. Die Grundlage einer guten forensischen Analyse ist ein methodischer Ansatz. Er gewährleistet, dass auf Basis der verfügbaren Daten angemessene Schlussfolgerungen gezogen werden oder zu der Erkenntnis gelangt wird, dass es nur eine mögliche Schlussfolgerung gibt.

Externe Anbieter unterstützen Unternehmen dabei, vollständige Assessments durchzuführen. Die Palette reicht von der Einschätzung informationstechnologischer Risiken über die Analyse von Netzwerkschwachstellen bis hin zu Penetrationstests. Es gibt noch eine ganze Reihe weiterer Assessmenttypen, die potenzielle Schwachstellen aufdecken helfen und beim Ergreifen geeigneter Schutzmaßnahmen unterstützen. Solche Risikoevaluierungen versetzen ein Unternehmen in die Lage einen geeigneten Reaktionsprozess zu etablieren, der dann im Falle zukünftiger Datenschutzverletzungen greift.

Solange Daten einem Risiko ausgesetzt sind, wird es Datenschutzverletzungen geben – beabsichtigte und nicht beabsichtigte. Wer sich allerdings die Mühe einer umfassenden Risikoeinschätzung und Analyse nach einem erfolgten Datenschutzvorfall macht, der kann einen durchdachten Reaktionsplan entwickeln. Dazu gehört es Risiken und Abwehrmaßnahmen zu priorisieren, die Sicherheit unternehmenskritischer Werte zu gewährleisten und im Krisenfall den Plan effektiv umzusetzen.

Systeme, Technologien und Bedrohungen verändern sich. Ihr Reaktionsplan sollte das auch tun. IT-Sicherheitsteams sollten wenigstens ein Mal im Jahr ein entsprechendes Audit durchführen und den Reaktionsplan auf seine Tauglichkeit im Krisenfall testen. 

Und natürlich um festzustellen, ob der Plan in dieser Form überhaupt noch relevant ist. Auf diese Weise minimiert man zukünftige Risiken und ist gleichzeitig in der Lage, die Verantwortlichkeiten kontinuierlich abzustimmen.

Jackson Shaw, Vice President, One Identity  

www.oneidentity.com/de-de/

GRID LIST
Computer als Kopf, Error

Die 5 häufigsten Datenschutz-Irrtümer im Online-Handel

Datenschutz ist im Online-Handel ein entscheidendes Thema, und das nicht erst seit…
DSGVO Datentunnel

Stream Processing für einfacheren Weg zur DSGVO-Compliance

Die data Artisans GmbH weist auf die Bedeutung von Stream-Processing, also der…
DSGVO-Beauftragte

Für welche Unternehmen ist ein Datenschutzbeauftragter Pflicht?

Seit Mai letzten Jahres gilt für Unternehmen innerhalb der EU die…
Angst Horrorfilm

Google weiß, was du letzten Sommer getan hast

Googles Android ist weltweit das am weitesten verbreitete Betriebssystem für Smartphones…
SSL

Auch hinter SSL-Verschlüsselung lauern Gefahren im Internet

Der Safer Internet Day soll dazu beitragen, die Internetnutzer auf die Gefahren beim…
Datenschutz Concept

Wie sicher sind Unternehmensdaten?

Der Europäische Datenschutztag rückte einmal mehr ins Blickfeld, wie Unternehmen ihre…